MySQL的SSL加密连接与性能开销

标签: mysql ssl 加密 | 发表时间:2015-12-10 10:05 | 作者:
出处:http://www.iteye.com
前言
在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中。MySQL在5.7版本之前对于安全问题的确考虑并不充分,导致存在比较大的隐患,比如下面的这些问题,可能有些小伙伴知道,有些却还不知道:
  • MySQL数据库默认安装的用户密码为空
  • 所有用户拥有对于MySQL默认安装test数据库的访问权限(即使没有授予权限)

好在Oracle官方也已经意识到安全的重要性,MySQL 5.7开始安装完成后的root用户的密码不再是空,而是在安装时随机产生一个密码,这也导致了用户安装5.7时发现的与5.6版本比较大的一个不同点。其次,官方已经删除了test数据库,默认安装完后是没有test数据库的。更为重要的是,MySQL 5.7版本提供了更为简单SSL安全访问配置,并且默认连接就采用SSL的加密方式。

何为SSL
首先看下维基百科是如何定义SSL的:
引用
Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), both of which are frequently referred to as 'SSL', are cryptographic protocols designed to provide communications security over a computer network.


从上面的定义来看,SSL指的是SSL/TLS,其是一种为了在计算机网络进行安全通信的加密协议。假设用户的传输不是通过SSL的方式,那么其在网络中以明文的方式进行传输,而这给别有用心的人带来了可乘之机。所以,现在很多网站其实默认已经开启了SSL功能,比如Facebook、Twtter、YouTube、淘宝等。



在数据库领域,之前Inside君去某公司做技术交流时,该公司介绍其运维平台能够对一些敏感字段做处理,比如取出的密码或资金数据用***来表示,那么DBA就无法看到这部分的私人数据内容。这本身是一个很不错的安全处理方式,但若DBA在本地装一个类似tcpdump的工具,则依然能够通过获取得到的包得到想要的数据。因此,除了在程序端进行展示的安全处理,还需在MySQL服务器端开启安全的加密通信功能,这时就是SSL发挥功能的时候了。

3.MySQL 5.7的SSL配置与使用
如果仔细阅读MySQL 5.7的安装文档INSTALL-BINARY,会发现5.7的安装文档在初始化数据目录之后还额外多做了一个操作,这是之前版本所没有的操作,而该步骤即是对于SSL的安装与配置:
......
shell> bin/mysqld --initialize --user=mysql
shell> bin/mysql_ssl_rsa_setup  
......          

运行完命令mysql_ssl_rsa_setup后会发现数据目录下多出了一些以pem结尾的文件,而这些文件就是开启SSL连接所需要的文件:
root@test-1:/usr/local/mysql/data# ls -lh *.pem
-rw------- 1 mysql mysql 1.7K Nov 25 14:12 ca-key.pem
-rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 ca.pem
-rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 client-cert.pem
-rw------- 1 mysql mysql 1.7K Nov 25 14:12 client-key.pem
-rw------- 1 mysql mysql 1.7K Nov 25 14:12 private_key.pem
-rw-r--r-- 1 mysql mysql  451 Nov 25 14:12 public_key.pem
-rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 server-cert.pem
-rw------- 1 mysql mysql 1.7K Nov 25 14:12 server-key.pem

若这时启动MySQL数据库并启动应该可以发现如下状态:
mysql>SHOW VARIABLES LIKE 'have_ssl';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl          | YES     |
+---------------+-------+
1 row in set (0.00 sec)

该参数表示MySQL服务器开启了SSL功能,而在MySQL 5.7版本下默认就会使用SSL的方式来进行连接,比如:
root@test-1:~# mysql -h10.166.224.32 -udavid
mysql> \s
--------------
mysql  Ver 14.14 Distrib 5.7.9, for linux-glibc2.5 (x86_64) using  EditLine wrapper

Connection id:		6119
Current database:	
Current user:		[email protected]
SSL:			Cipher in use is DHE-RSA-AES256-SHA
......

通过STATUS的SSL列就能判断连接的用户是否使用了SSL,比如上述例子中的Cipher in use is DHE-RSA-AES256-SHA就表示当前david用户是通过SSL的方式进行连接。若在创建用户时,希望该用户每次必须通过SSL方式,则需在创建用户通过REQUIRE SSL来进行设置,对于上述的david用户,可以通过如下方式来进行修改以确保每次通过SSL进行连接,强制不使用SSL进行连接则报错:
mysql> ALTER USER david@'%' REQUIRE SSL;
......
root@test-1:~# mysql -h10.166.224.32 -udavid --ssl=0
ERROR 1045 (28000): Access denied for user 'david'@'10.166.224.32' (using password: YES)

MySQL 5.6同样支持以SSL的方式进行连接,但是操作相对5.7较为复杂,用户需要自己通过openssl命令来创建各类公密钥,具体可以查看相关官方文档。

SSL性能测试
相信很多小伙伴关心开启SSL加密连接后的性能表现,不可否认的是启用SSL加密连接后,性能必然会有下降。这里的测试采用全内存SELECT主键的方式,因此可以认为是最坏情况的SSL性能开销:



上述的测试是在Inside君的云主机环境下,云主机配置只有4核CPU,故QPS值整体不高,但是应该能够发现开启SSL后的性能开销在25%左右。

另外,由于SSL开销较大的环节在建立连接,所以短链接的开销可能会更大,因此推荐使用长连接或者连接池的方式来减小SSL所带来的额外开销,不过好在MySQL的应用习惯大部分也是长连接的方式。

总结
1.MySQL 5.7配置SSL要比5.6来的简单的多
2.MySQL 5.7客户端默认开启SSL加密连接
3.通常来说,开启SSL加密连接后,性能最大的开销在25%左右

本文来自微信公众号: InsideMySQL

感谢 mengyidan1988 投递这篇资讯

资讯来源: InsideMySQL

已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [mysql ssl 加密] 推荐:

MySQL的SSL加密连接与性能开销

- - ITeye资讯频道
在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中. MySQL在5.7版本之前对于安全问题的确考虑并不充分,导致存在比较大的隐患,比如下面的这些问题,可能有些小伙伴知道,有些却还不知道:. MySQL数据库默认安装的用户密码为空. 所有用户拥有对于MySQL默认安装test数据库的访问权限(即使没有授予权限).

CentOS 6下搭建Apache+MySQL+PHP+SSL

- 〤依然特雷西 - 博客园-首页原创精华区
网上的一些文章都已经比较老了,现在版本高了之后,其实配置是很省力的(不考虑什么负载的话). 分享全过程,出了文中提到的安装epel rpmfushion 源指令不同外,其他的过程也适用与Centos 5. 1.安装CentOS 6 ,可以选择最小安装,也可以安装桌面. 3.安装mysql,并设置mysql开机自启动,同时启动mysql.

2009-08-02 SSL 加密代理列表:

- scxbaobao - (title unknown)
点击连接后请接受安全证书来加密浏览.

给浏览器添加SSL加密的Google搜索引擎

- Sam - cnBeta.COM
今天 Google 宣布其搜索引擎也开始支持 SSL 加密传输,以更好地保障用户的数据安全,当然一定程度上也缓解了国内使用Google搜索经常被重置的现象. 下面我介绍一下怎样在主流的浏览器上使用 SSL 加密的Google搜索,包括 IE,Firefox,Chrome,Opera,需要注意的是,如果被转入google.com.hk,请选择主页下的 Go to Google.com ,之后可以正常使用.

SSL加密被破解 千万站点面临危险

- zhouding - 驱动之家新闻_最新新闻
研究者最近发现了一个存在于TLS 1.0(几乎应由于所有HTTPS加密网站的协议)的重大弱点. 利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据. 此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议. 只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密,诸如PayPal、GMail等大型网站也不例外.

SSL加密可被破解,Chrome 将更新以应对

- tinda - ITeye资讯频道
研究者最近发现了一个存在于TLS 1.0(几乎应用于所有HTTPS加密网站的协议)的重大弱点. 利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据. 此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议. 只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密.

Web 主机管理(SSL加密的HTTPS) -- Webmin

- 李帅 - Wow! Ubuntu
Webmi n是目前功能最强大的基于Web的UNIX系统管理工具. 管理员可通过浏览器访问 Webmin 的各种管理功能并完成相应的管理动作. Webmin 让你能够在远程使用支持HTTPS(SSL 上的 HTTP)协议的 Web 浏览器通过Web界面管理你的主机. 如果公司由VPN的用户,最适合不过了,即使外地出差,也能够访问在公司的linux主机.

谷歌下周起默认使用SSL加密搜索页面

- clowwindy - GeekPark 捕风捉影
谷歌周二表示,该公司将从下周起默认对登录谷歌账号的用户部署SSL(安全套接层)加密协议. 谷歌早在一年前就对Gmail进行了默认加密并且推出了加密搜索服务. 谷歌产品经理伊芙琳·考(Evelyn Kao)周二表示:“随着搜索的个性化体验逐渐提升,我们意识到保护个人搜索结果的重要性与日俱增. ”他还补充道,对于使用Wi-Fi网络或是在网吧上网的用户而言,加密尤其重要.

Google搜索将默认对登陆用户使用SSL加密

- perfect - Solidot
tbw 写道 "目前Google搜索中支持SSL加密方式的有Web搜索、图片搜索和除地图搜索之外的其他搜索模式. 当然,由于计算机需要首先与Google建立安全链接,所以使用SSL加密方式的搜索体验可能比传统模式的搜索会稍微慢一点. Google英文官方博客今天发文称,Google将默认对登陆用户使用SSL加密,以更好的保证用户隐私.

使用 TLS/SSL 加密你的 HTTP 代理

- - 依云's Blog
HTTP 代理是明文的,这导致实际访问的 URL 可以被他人监测到. 即使使用 HTTPS 协议,经过 HTTP 代理时会发送 CONNECT请求,告诉代理要连续到远程主机的指定端口. 比如像 HTTPS 那样,使用 TLS 协议连接到代理服务器,然后再进行 HTTP 请求. 很遗憾的是,我在 ziproxy 的配置里没有发现这样的选项.